如何将集群上的SSL证书替换为配置的外部密钥管理器

适用场景

• Data ONTAP 8
• ONTAP 9
• 外部密钥管理器

问题描述

外部密钥管理服务器是存储环境中的第三方系统、可使用密钥管理互操作性协议(Key Management互操作性协议、KMIP)为节点提供身份验证密钥。  集群和KMIP服务器使用KMIP SSL证书验证彼此的身份并建立SSL连接。

开始之前：

• 创建证书的服务器、KMIP服务器和集群上的时间必须同步
• 在机下备份当前证书。
• 如果未生成新的身份验证密钥、则必须使用当前安装的NSE专用密钥(client_private.key)生成续订证书签名请求(client.CSR)
• 必须将client.CSR文件发送到CA进行签名、签名后、该文件将成为NSE公共证书(client.prom)
• 您必须已获取KMIP服务器的根证书颁发机构(CA)的CA公共证书(CA.prom)
• 使用安装了OpenSSL且能够与KMIP 服务器通信的任何计算机验证PEM文件。

注意：您可以在集群上安装客户端和服务器证书之前或之后在KMIP服务器上安装这些证书。